CN.
Zurück zu Updates
30. April 2026
Feature Releasevon Claudius Neidig

ChatGPT Advanced Account Security: Passkeys, YubiKeys & härtere Sessions

OpenAI führt mit Advanced Account Security ein neues Opt-in-Profil für ChatGPT- und Codex-Konten ein. Es erzwingt Passkeys oder Hardware-Security-Keys, deaktiviert E-Mail- und SMS-Recovery und schließt aktivierte Konten automatisch vom Modell-Training aus — gedacht für Hochrisiko-Nutzer wie Journalisten, Politiker, Forscher und Trusted Access for Cyber.

Was Advanced Account Security ist

OpenAI hat am 30. April 2026 Advanced Account Security vorgestellt — ein neues Opt-in-Sicherheits-Profil für ChatGPT-Konten, das auch für Codex-Zugänge unter demselben Login greift. Aktiviert wird es im Bereich Security des ChatGPT-Kontos im Web. Zielgruppe sind laut OpenAI Personen mit erhöhtem digitalen Bedrohungsprofil: Journalisten, gewählte Mandatsträger, politische Dissidenten, Forscher sowie alle Nutzer, die schlicht den stärksten verfügbaren Schutz wollen.

Im Kern ist das Profil eine Bündelung mehrerer härterer Default-Einstellungen, die in einem Schritt aktiviert werden — und im Gegenzug die Verantwortung für die Account Recovery vollständig zum Nutzer verschieben. Wichtig: OpenAI-Support kann eingehängte Konten bei Verlust der Recovery-Mittel nicht mehr wiederherstellen.


Vier Schutzmechanismen im Detail

Stärkere Sign-in-Methoden: Passwort-Login wird deaktiviert, stattdessen sind Passkeys oder physische Security Keys Pflicht. Damit fällt die häufigste Phishing-Vektor-Klasse weg.

Sicherere Account-Recovery: E-Mail- und SMS-Recovery sind deaktiviert. Erlaubt sind nur noch Backup-Passkeys, Security Keys und Recovery Keys. Wer beides verliert, verliert den Account — OpenAI Support kann hier laut Ankündigung nicht eingreifen.

Kürzere Sessions und Session-Management: Sign-in-Sessions sind kürzer, das Expositionsfenster bei kompromittiertem Gerät schrumpft. Nutzer bekommen Login-Alerts und können aktive Sessions auf allen Geräten einsehen und beenden.

Automatische Training-Exclusion: Konten mit aktivem Profil werden automatisch vom Modell-Training ausgeschlossen — eine sinnvolle Default-Wahl bei sensiblen Recherche- oder Quellen-Gesprächen.


Yubico-Partnerschaft: YubiKey C Nano und YubiKey C NFC

Parallel zum Launch hat OpenAI eine Partnerschaft mit Yubico angekündigt. Über die ChatGPT-Sicherheits-Einstellungen im Web können berechtigte Nutzer ein vergünstigtes YubiKey-Bundle beziehen:

  • YubiKey C Nano: dauerhaft im Laptop-USB-C-Port — niedrigschwellige tägliche Authentifizierung.
  • YubiKey C NFC: Backup-Schlüssel, NFC-fähig und damit auch auf Mobilgeräten nutzbar.

Andere FIDO-konforme Security Keys oder reine Software-Passkeys funktionieren ebenfalls — Yubico ist der bevorzugte Hardware-Partner, kein Lock-in. Das Bundle ist auch für Nutzer ohne Advanced Account Security in den Sicherheits-Settings sichtbar, um die Einstiegshürde für Hardware-Authentifizierung allgemein zu senken.


Pflicht für Trusted Access for Cyber ab 1. Juni 2026

OpenAI verknüpft den Launch direkt mit dem Trusted Access for Cyber-Programm, über das verifizierte Defender Zugang zu leistungsfähigeren und permissiveren Modellen bekommen. Hier wird Advanced Account Security verpflichtend:

  • Ab 1. Juni 2026 müssen einzelne Mitglieder von Trusted Access for Cyber, die auf die cyber-stärksten und permissivsten Modelle zugreifen, Advanced Account Security aktiviert haben.
  • Organisationen mit Trusted Access können stattdessen attestieren, dass ihre SSO-Workflows phishing-resistant sind — dann reicht der bestehende IdP-Pfad.

Einordnung für Enterprise-Teams

Advanced Account Security ist kein Workspace-Admin-Feature für ChatGPT Enterprise und kein Ersatz für SSO mit Okta, Entra ID & Co. Es ist ein persönliches Sicherheits-Profil auf Konto-Ebene, das parallel zur Organisations-Identity läuft. Für IT- und Security-Teams ergeben sich daraus drei konkrete Aufgaben:

  • Risiko-Zielgruppen identifizieren: Wer im Unternehmen arbeitet mit besonders sensiblen Quellen, Verschlusssachen oder Compliance-Inhalten und sollte das Profil aktivieren? Typisch: Legal, Investigative-Roles, IR-Teams, M&A.
  • Recovery-Prozess klären: Da OpenAI Support nicht hilft, braucht es eine interne Aufbewahrungs-Policy für Recovery Keys (z. B. via Hardware Token in einem versiegelten Tresor oder unternehmens-internen Secrets-Vault).
  • Phishing-resistant SSO prüfen: Für Trusted-Access-Organisationen lohnt sich kurzfristig der Check, ob der bestehende IdP wirklich phishing-resistant ist (Passkeys, FIDO2 oder Smart Cards) — sonst greift die Pflicht für Einzelpersonen.

OpenAI deutet außerdem an, das Konzept perspektivisch auf Enterprise-Umgebungen auszuweiten. Wer ChatGPT in regulierten Branchen einsetzt, sollte den Launch deshalb als frühen Pilot beobachten — die nächste Stufe wird vermutlich auf Tenant-Ebene konfigurierbar sein.


Fazit

Advanced Account Security ist das technisch sauberste Privacy-und-Security-Update, das OpenAI bislang für persönliche ChatGPT-Konten ausgerollt hat: Passkeys plus Hardware Keys plus enge Session-Kontrolle plus automatische Training-Exclusion — alles in einem Schalter. Der Preis dafür ist Eigenverantwortung bei der Recovery, weshalb das Profil in Unternehmen nur mit klar dokumentiertem Schlüssel-Management ausgerollt werden sollte. Für Trusted Access for Cyber wird es ab 1. Juni 2026 ohnehin Pflicht.

chatgptopenaisecurityaccount-securitypasskeysyubikeyphishing-resistancetrusted-access-for-cybercodex
Verknüpfte Tools

Verknüpfte Tools

CHATGPT

Deutschlands meistgenutzter KI-Assistent für Texte, Analysen und Automatisierung.